Überblick
In Unternehmen mit strukturiertem IT-Betrieb läuft die Sicherheitsarbeit nicht im Vakuum: Sicherheitsvorfälle werden als Tickets im Service Desk erfasst, Änderungen an Sicherheitsarchitekturen durchlaufen den Change-Enablement-Prozess, und Problem-Analysen nach Sicherheitsvorfällen folgen denselben Frameworks wie andere IT-Probleme. Dieser Lehrgang verbindet CompTIA CySA+ (CS0-003) mit ITIL 4 Foundation, weil genau diese inhaltliche Überlappung in der Praxis täglich relevant wird. CySA+ schärft die operative Sicherheitsanalyse: Bedrohungen erkennen, Schwachstellen bewerten, SIEM-Daten interpretieren und auf Sicherheitsvorfälle strukturiert reagieren. ITIL 4 Foundation vermittelt das Rahmenwerk, in dem diese Sicherheitsarbeit im Unternehmen organisatorisch eingebettet ist: Service Value System, Service Value Chain und die Managementpraktiken, die Sicherheitsvorfälle als Service-Events behandeln.
Kursinhalte & Lernziele
CySA+ — Bedrohungserkennung und Schwachstellenmanagement Die erste CySA+-Themendomäne behandelt die systematische Erkennung von Bedrohungen und das strukturierte Management von Schwachstellen. CS0-003 legt gegenüber früheren Versionen stärkeres Gewicht auf Threat Intelligence, verhaltensbasierte Analyse und Cloud-spezifische Bedrohungen. Sicherheitsanalysten brauchen heute weit mehr als Signatur-basierte Erkennung — dieser Block vermittelt das dafür notwendige Methodenrepertoire.
- Threat Intelligence: Klassifikation von Quellen (tactical, operational, strategic), Integration in SOC-Prozesse
- MITRE ATT&CK: Taktiken, Techniken und Procedures (TTPs) zuordnen und für die Verteidigung nutzen
- Schwachstellenscanning mit gängigen Tools: Ergebnisse interpretieren, False Positives filtern
- CVSS-Scoring und kontextbezogene Priorisierung: technische Kritikalität versus Geschäftsrelevanz
- Threat Hunting: proaktive Suche nach Angreiferspuren jenseits automatischer Alarme
- Cloud-spezifische Schwachstellen und Fehlkonfigurationen in hybriden Architekturen
CySA+ — Incident Response und Security Operations Wenn eine Bedrohung erkannt ist, zählt die Reaktionsgeschwindigkeit und -qualität. Dieser Block behandelt den vollständigen Incident-Response-Zyklus und die Werkzeuge eines modernen Security Operations Centers. Die inhaltliche Verbindung zu ITIL Incident Management wird hier erstmals explizit gezogen.
- Incident-Response-Phasen nach CySA+-Standard: Vorbereitung, Identifikation, Eindämmung, Beseitigung, Wiederherstellung, Nachbereitung
- SIEM-Systeme: Alarmklassifizierung, Korrelationsregeln, Triage-Priorisierung und Eskalationsprozesse
- Log-Analyse: sicherheitsrelevante Ereignisse aus System-, Applikations-, Netzwerk- und Cloud-Protokollen extrahieren
- Malware-Analyse: verhaltensbasierte und statische Untersuchung schädlicher Artefakte
- Netzwerkforensik: PCAP-Auswertung, Flow-Daten, Lateral-Movement-Erkennung
- Forensische Grundlagen: Beweissicherung, Chain of Custody, Reporting nach Vorfällen
- Compliance-Anforderungen im Security-Operations-Alltag: Meldepflichten, Dokumentationsstandards
ITIL 4 Foundation — Service Value System und Managementpraktiken ITIL 4 ist die aktuelle Version des meistgenutzten IT-Service-Management-Frameworks weltweit. Foundation deckt das konzeptionelle Grundgerüst ab — das Service Value System (SVS) als übergreifendes Modell, die Service Value Chain als Aktivitätsrahmen und die Managementpraktiken, von denen 15 im Foundation-Examen schwerpunktmäßig behandelt werden. Dieser Block vermittelt ausschließlich ITIL 4; das ältere ITIL v3-Lifecycle-Modell (Service Strategy, Service Design etc.) ist abgelöst und kein Prüfungsgegenstand mehr.
- Das ITIL 4 Service Value System (SVS): Guiding Principles, Governance, Service Value Chain, Practices und Continual Improvement
- Die Service Value Chain: sechs Aktivitäten — Plan, Improve, Engage, Design and Transition, Obtain and Build, Deliver and Support
- Die sieben Leitprinzipien: Focus on Value, Start Where You Are, Progress Iteratively, Collaborate and Promote Visibility, Think and Work Holistically, Keep It Simple and Practical, Optimise and Automate
- Die vier ITIL 4-Dimensionen: Organisationen und Menschen, Information und Technologie, Partner und Lieferanten, Werteströme und Prozesse
- Schlüsselpraktiken im Detail: Incident Management, Problem Management, Change Enablement, Service Desk, Service Level Management, Monitoring and Event Management, Information Security Management
- ITIL-Grundbegriffe: Service, Value, Outcome, Output, Utility, Warranty, Customer, User, Sponsor
Integrationsblock — CySA+-Security-Operations im ITIL-Rahmen Dieser Block verbindet beide Qualifikationswelten explizit. Sicherheitsvorfälle, Schwachstellenbehebungen und Sicherheitsänderungen laufen in ITSM-geprägten Organisationen durch ITIL-Prozesse — wie das funktioniert und wo Reibung entsteht, wird hier praxisnah erarbeitet.
- ITIL Incident Management versus CySA+ Incident Response: Gemeinsamkeiten, Unterschiede, Schnittstellendefinition
- Security-Events im ITIL Service Desk: Klassifizierung, Eskalationspfade, Kommunikationsstandards
- ITIL Problem Management als Instrument zur Ursachenanalyse nach Sicherheitsvorfällen
- Change Enablement und Sicherheit: wie unkontrollierte Änderungen Angriffsflächen öffnen und wie Change-Prozesse gegensteuern
- Monitoring and Event Management nach ITIL 4 und SIEM-Alarmverarbeitung: konzeptionelle Brücke
- ITIL Continual Improvement und Security-Metrics: wie CySA+-KPIs in ITIL-Review-Prozesse einfließen
- Szenario: ein kritischer Sicherheitsvorfall durchläuft den ITIL-Prozessrahmen — von der SIEM-Meldung bis zum Post-Incident-Review
- Übung: Incident-Report, der sowohl CySA+-Forensik-Standards als auch ITIL-Ticket-Anforderungen erfüllt
- Bewertung eines Change Requests auf Sicherheitsimplikationen nach CySA+-Methodik
- Problem-Analyse eines wiederkehrenden Sicherheitsvorfalls mit ITIL-Werkzeugen
- Security-Service-Level-Management: wie Verfügbarkeits- und Sicherheitsziele in SLAs abgebildet werden
- Abschlussübung: Verbesserungsmaßnahmen für Sicherheitsservices im ITIL-Continual-Improvement-Rahmen ableiten
Lernziele:
- Bedrohungsanalysen nach CySA+-Standard durchführen: Threat Intelligence einordnen, Angriffsmuster mit MITRE ATT&CK klassifizieren
- Schwachstellen in Systemen und Netzwerken mit anerkannten Tools identifizieren und nach CVSS priorisieren
- SIEM-Daten, Log-Quellen und Netzwerkverkehr auf Sicherheitsanomalien auswerten
- Incident-Response-Prozesse planen, initiieren und koordinieren — von der Erkennung bis zur Nachbereitung
- Malware-Artefakte, IOCs (Indicators of Compromise) und verdächtiges Systemverhalten dokumentieren
- Das ITIL 4 Service Value System (SVS) und seine Komponenten erklären und auf Sicherheitsdienste anwenden
- Die sechs Aktivitäten der Service Value Chain kennen und Sicherheitsoperationen darin einordnen
- Die sieben ITIL 4-Leitprinzipien im Kontext von Sicherheitsservices anwenden
- ITIL 4-Managementpraktiken beschreiben: Incident Management, Problem Management, Change Enablement, Service Level Management
- Den Zusammenhang zwischen ITIL-Serviceprozessen und CySA+-Security-Operations herstellen und nutzen
- Cloud-spezifische Bedrohungen und Schwachstellen in hybriden Umgebungen einordnen
- Auf CySA+ (CS0-003) und ITIL 4 Foundation systematisch vorbereitet sein
Zielgruppe & Voraussetzungen
Dieser Lehrgang spricht IT-Fachkräfte an, die in Service-Management-Umgebungen Sicherheitsverantwortung tragen oder umgekehrt Sicherheitsanalysten sind, die ITIL-Prozesse täglich in ihrer Arbeit antreffen.
- SOC-Analysten und Security-Fachkräfte in Unternehmen mit ITIL-basiertem IT-Betrieb
- IT-Operations-Mitarbeitende in Service-Desk- oder IT-Support-Rollen, die Sicherheitsanalyse-Kompetenz aufbauen
- Personen, die beide Zertifizierungen — CySA+ und ITIL 4 Foundation — in einem strukturierten Lehrgang erwerben wollen
- Berufseinsteiger im IT-Bereich mit dem Ziel, ein praxisrelevantes Security-plus-ITSM-Profil aufzubauen
- Fachkräfte in Unternehmen, die Cybersicherheit als gemanagten Service innerhalb des ITSM-Portfolios betreiben
IT-Kenntnisse in Netzwerken und Betriebssystemen sind für den CySA+-Teil eine gute Basis. CompTIA empfiehlt Network+ oder Security+ als Vorbereitung, ohne diese formal vorauszusetzen. ITIL 4 Foundation ist ohne technisches Vorwissen zugänglich; grundlegende IT-Begriffe sollten bekannt sein.
Ablauf & Abschluss
Der Unterricht läuft als Live-Training im virtuellen Klassenzimmer, in dem Theorie-Einheiten, prüfungsnahe Fallanalysen und integrierte Szenarien abwechseln. CySA+-Inhalte werden durch realistische Sicherheitsvorfälle verankert, in denen SIEM-Daten ausgewertet und Incident-Response-Schritte durchgespielt werden. ITIL 4-Inhalte werden durch praxisnahe ITSM-Szenarien erarbeitet und explizit mit Security-Operationen verbunden. Die modulare Kursstruktur erlaubt Teilnehmenden mit vorhandenem ITIL-4-Foundation-Zertifikat, sich auf den CySA+-Teil zu konzentrieren.
Das Programm umfasst zwei eigenständige Zertifizierungspfade mit unterschiedlichem Lernaufwand: ITIL 4 Foundation lässt sich als kompaktes Modul erarbeiten; CySA+ erfordert mehr Tiefe über alle Prüfungsdomänen. Die Gesamtdauer richtet sich nach der Modulauswahl. Beide Prüfungen werden nach eigenem Zeitplan bei CompTIA beziehungsweise bei PeopleCert für das ITIL-4-Foundation-Examen abgelegt.
Der Kurs bereitet auf CompTIA CySA+ (CS0-003) und ITIL 4 Foundation vor. CySA+ wird bei CompTIA über Pearson VUE abgelegt und ist drei Jahre gültig; die Rezertifizierung erfolgt durch erneute Prüfung oder Continuing Education Units. ITIL 4 Foundation wird bei einem PeopleCert-autorisierten Prüfungszentrum abgelegt und ist unbefristet gültig — es bildet die Basis für die höheren ITIL-Level (Managing Professional, Strategic Leader). Ergänzend erhalten Teilnehmende eine qualifizierte Teilnahmebescheinigung des Bildungsträgers.
Nutzen & Perspektiven
Sicherheitsvorfälle sind in ITSM-strukturierten Organisationen keine isolierten Ereignisse, sondern Service-Unterbrechungen mit definierten Eskalationspfaden, Ticket-Dokumentationsanforderungen und SLA-Auswirkungen. Wer nur CySA+ kennt, kann technisch exzellent analysieren, aber die Ergebnisse möglicherweise nicht in ITSM-Sprache kommunizieren. Wer nur ITIL 4 Foundation kennt, versteht Sicherheitsvorfälle als Prozess-Event, aber nicht in ihrer technischen Tiefe. Die Kombination beider Qualifikationen schließt diese Lücke. ITIL 4 Foundation ist das meistabgelegte IT-Zertifikat weltweit und dokumentiert ein grundlegendes Verständnis dafür, wie IT als Serviceorganisation funktioniert. CySA+ adressiert mit CS0-003 modernisierte Themen — Cloud-Bedrohungen, automatisierte Erkennung, Threat Intelligence — und ist gerade in Unternehmen gefragt, die Security Operations Center professionell betreiben. Wer beides nachweisen kann, überzeugt Arbeitgeber in Security- und IT-Operations-Positionen gleichermaßen. Das kombinierte Profil ist besonders für den Mittelstand und für Großunternehmen attraktiv, die Sicherheit nicht als separaten Silo, sondern als integrierten Teil des IT-Service-Portfolios betreiben. Rollen wie ITSM Security Specialist, IT Security Operations Manager oder SOC Analyst in ITSM-geprägten Unternehmen sind typische Einsatzfelder für Absolventinnen und Absolventen dieses Lehrgangs.
Häufig gestellte Fragen (FAQ)
Was ist der aktuelle Prüfungscode für CySA+?
Der aktuelle Prüfungscode ist CS0-003. Diese Version ist seit 2023 gültig und legt gegenüber der Vorgängerversion CS0-002 stärkeres Gewicht auf Cloud-Security, automatisierte Bedrohungserkennung und Threat Intelligence. Der Kurs bereitet ausschließlich auf die aktuelle Version vor.
Ist in diesem Kurs ITIL 4 oder ITIL v3 relevant?
Ausschließlich ITIL 4. Die aktuelle Version basiert auf dem Service Value System (SVS) mit Service Value Chain, sieben Leitprinzipien und 34 Managementpraktiken. Das ältere ITIL v3-Lifecycle-Modell mit Service Strategy, Service Design, Service Transition, Service Operation und CSI ist abgelöst und wird im Foundation-Examen nicht mehr geprüft.
Wie hängen ITIL Incident Management und CySA+ Incident Response zusammen?
Beide Konzepte befassen sich mit ungeplanten Ereignissen, die den normalen Betrieb stören. ITIL Incident Management ist serviceorientiert: Ziel ist die schnellstmögliche Wiederherstellung des Normalbetriebs, unabhängig von der Ursache. CySA+ Incident Response ist sicherheitstechnisch ausgerichtet: Ziel ist Eindämmung des Angriffs, forensische Analyse und Ursachenbehebung. Der Kurs macht die Schnittstellen und Unterschiede beider Perspektiven explizit sichtbar.
Kann ich den Kurs belegen, wenn ich ITIL 4 Foundation bereits habe?
Ja. Die Module sind individuell kombinierbar. Wer bereits über das ITIL-4-Foundation-Zertifikat verfügt, konzentriert sich auf den CySA+-Teil und reduziert damit Kursdauer und -aufwand entsprechend.
Für welche Karrierestufe ist dieser Kurs geeignet?
CySA+ gilt als mittleres Zertifizierungslevel und richtet sich an Fachkräfte mit ersten IT-Sicherheitserfahrungen. ITIL 4 Foundation ist das Einsteigerzertifikat in den ITIL-Lernpfad und ohne spezifische Vorkenntnisse zugänglich. Zusammen bilden sie ein praxisrelevantes Profil sowohl für Berufseinsteiger als auch für erfahrene IT-Fachkräfte, die Sicherheits- und Service-Management-Kompetenz offiziell nachweisen wollen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- IT Security Specialist221 Stellen
- IT-Service-Delivery-Manager/IT-Service-Delivery-Managerin195 Stellen
- Chief-Information-Security-Officer103 Stellen
- Security Operations Center (SOC) Analyst52 Stellen
- Cybersecurity Analyst23 Stellen